RTFM && WTFN - backup

Screen это технология которая позволяет бороться с порядка 30 различными внутренними и внешними типами атак на 3 и 4 уровнях. Фактически это Layer3-4 IPS. Основное предназначение screen это борьба с досом (dos - denail of service). Screen пропускает через себя трафик и ищет в нем несответствия (не стандартное поведение) стандартам. Например слишком большой размер icmp пакета, не правильно расставленные флаги, определяет наличие различных типов флудов (syn, icmp и пр.) и сканирования портов.

Место применения screens.

Виды DoS:

• Exploit-Based DoS - атака которая использует известные уязвимости в конечной системе (жертве), что бы вывести её из строя или сделать работу нестабильной. Жертву можно полостью вывести из строя или только на время проведения атаки. Атаки такого типа хорошо подавляются силами полноценного IPS, screen не очень хорошо подходит для этих атак.
• Flood-Based DoS - целью данной атаки, в отличии от EB DoS, не является разрушение или проникновение в конечную систему. FB DoS нацелен на то, что бы сделать сервис который работает на жертве недоступным для миролюбивых пользователей. Это достигается тем, что со стороны атакующего на жертву приходит слишком большое количество трафика (попыток соединения) которое польностью “выедает” ресурсы жертвы, в результате жертва не может обработать запрос от обычного пользователя. С этим видом DoS screen хорошо борется.

—

(??)На бранчовых srx screen работает как приложение на ресурсах центрального процессора. Screen выполняется на data-plane и поэтому, теоретически, в случае атаки сам srx должен быть доступен, осебенно если есть и оспользуется fxp0. На хай-енд srx screen работает на отдельных “железных” ресурсах.

—

Типы (режимы работы) screen:

• packet screen
• thresholt screen

Типичная атака состоит из трех фах:

1. Изучение (reconnaissance)
   На данном этапе производится сбор информации о жертве - ip адреса, порты, тип ОС и пр.
   Используются атаки типа:
   1. ip address sweep
   2. port scanning
   3. OS probes
   4. ip options
2. Атака
   Начинается сама атака целью которой может являться вывод из строя хостов, сети или получение достпупа к схосту.
   Атаки делятся на следющие типы:
   1. Атаки на маршрутизатор или МСЭ
      1. переполнение таблиц сессий (table session flood)
      2. syn-ack-ack
   2. Атаки направленные на вывод из строя и\или деградацию производительности сети в целом
      1. syn-flood
      2. syn-cookie
      3. icmp-flood
      4. udp-flood
      5. land attack
   3. Атаки направленные на конечные хосты
      1. ping of death
      2. teardrop
      3. winnuke
3. Атака изнутри
   Третья фаза может возникнуть в случае если получен достпуп к хосту расположенному внутри защищаемой сети. Этот хост может стать точкой с которой будет начата атака уже внутри сети.

—

Атаки присущие всем этапам атак (suspicious packets – подозрительные пакеты):

• icmp abnormalities
• bad ip options
• unknown protocol
• ip packet fragments
• syn fragments

—

Best-practices при внедрении скрина:

• Cоставить список необходимых приложений и понимать их поведение с точки зрения сетевого обмена.
• Составить патерны разрешенного трафика – определить уровни срабатывания при которых будут срабатывать дропы.
• Разворачиывать скрин только в зонах безопасности со стороны которых возможны атаки.
• Перед полным внедрение скрина прогнать его в тестовом режиме дав ему опцию “alarm-without-drop”.
• Помнить, что не правильно настроенный скрин сделает пользователей unhappy=)

Атака
Целью атаки является обнаружение хостов в сети жертвы. Атакующий посылает icmp-echo-request в надежде на то, что какой-либо хост ответит на запрос и обнаружит себе. Атакующий записывает все хосты которые ответили.

Защита
С атакой борятся путем задания интервала времени в течении которого атакующему разрешено послать с одного сурс адреса не более 10 icmp запросов на разные дестенейшн адреса.
Если в течении этого интервала прийдет запрос для 11 дестинейшн адреса, то srx помечает данный сурс адрес как адрес с которого идет атака и все последующие icmp пакеты будут тихо дропнуты. Дропаться пакеты будут до тех пор пока интенсивность icmp запросов не упадет до разрешенных значений. По дефолту значение интервала равно 5000 микросекунд (0.005 сек). Значение интервала может задаваться от 1000 до 100000 микросекунд, количество адресов не меняется и всегда равно 10.

Такое правило скрина необходимо только если в политиках безопасности разрешено прохождение icmp echo запросов между зонами безопасности.

Настройка

[edit security screen] 
root@srx# show 
ids-option test { 
    icmp { 
        ip-sweep threshold 5000; 
    } 
}

Атака
Смысл атаки заключается в посылке с одного сурс адреса на один дестинейшн адрес tcp-syn пакетов по стандартным портам. Если частота прихода таких пакетов и количество портов превышает установленные значения, то соурс адрес помечается как подозрительный и все пакеты с этого адреса начинают дропаться.

Защита
С атакой борятся путем задания интервала времени в течении которого атакующему разрешено послать с одного сурс адреса не более 10 tcp-syn пакетов на один и тот же дестинейшн адрес на разные порты, 11 и все последующие пакеты будут тихо дропнуты.<br> По дефолту значение интервала равно 5000 микросекунд (0.005 сек). Значение интервала могут задаваться от 1000 до 100000 микросекунд, количество пакетов не меняется и всегда равно 10.

Настройка

[edit security screen] 
root@srx# show 
ids-option test { 
    tcp { 
        port-scan threshold 5000; 
    } 
} 

Атака
В соответствии со стандартом rfc791 в заголовке ip пакета после адреса назначения можно задать опции – route record, timestamp, security and stream id. В большинстве случаев эти опции не нужны.

Данные опции любят использовать злоумышленники подставляя в них не корректные значения которые могут вызвать сбои в работе сети.

Защита
SRX следит за появлением пакетов c ip опциями. В случае обнаружения srx увеличивает счетчик (на входном интерфейсе) пакетов с ip опциями и генирирует эвент в котором данные пакеты помечаются как имеющие отношения к атаке направленной на изучение сети. Обнаруженные пакеты не дропаются.

Настройка

[edit security screen] 
root@srx# show 
ids-option test { 
    ip { 
        record-route-option;
        timestamp-option;
        security-option;
        stream-option;
    } 
} 

Атака
Перед атакой надо разведать под управлением какой ОС работает тот или иной хост. Разные ОС по разному реагируют на последовательности tcp пакетов.

Защита
Для борьбы с данной атакой srx просматривает флаги tcp заголовка и ищет в них следующис сочетания:

• флаги syn и fin стоят одновременно (syn-fin)
• стоит флаг fin но не стоит флаг ack (fin-no-ack)
• вообще не стоит флагов (tcp-no-flag)

Как только в пакете нашлись такие сочетания флагов пакет сразу же тихо дропается.

Настройка

[edit security screen] 
root@srx# show 
ids-option test { 
    tcp { 
        syn-fin;
        fin-no-ack;
        tcp-no-flag;
       } 
} 

Атака
При данной атаке в ip заголовке производится подмена адреса источника. Подставляется адрес которому разрешено прохождение через srx.

Защита Для для борьбы с данной атакой srx использует информацию из форвардинг таблицы. SRX сравнивает ip адрес источника с наиболее “узким” префиксом из таблицы форвардинга и определяет интерфейс через которые должны приходить такие пакеты. Если пакет пришел на srx пришел через другой интерфейс (с менее “узким” префиксом, например 0.0.0.0/0), то считается, что у пакета подменет адрес источника. SRX начинает тихо дропать такие пакеты.

Настройка

[edit security screen] 
root@srx# show 
ids-option test { 
    tcp { 
        spoofing;
        } 
} 

Атака
В ip заголовок можно прописать желаемый путь по которому должен пройти пакет от источника к назначению. Как правило ip source route применяется при каком-либо траблшутинге и в обычной работе не используется.
Есть две разновидности source routing:

• strict source routing - точно прописывается путь по которому должен пройти пакет. Если маршрутизатор видит, что в соотвестствии с прописанным путем ему необходимо отправить пакет на маршрутизатор который не доступен ему напрямую, то он отправляет источнику icmp отлуп (type3 - destination unreachable message, code5 - source route failed error).
• loose source routing - задается список ip адресов через которые пакет должен пройти, между ip адресами пакет может проходить через произвольные маршрутизаторы.

Source routing применяется при выполнении атак типа ip spoofing когда атакующему необходимо на пути к жертве обойти сеть на маршрутизаторах которой включена проверка на атаку ip spoofing.

Защита
SRX просматривает пакеты на предмет наличия опций strict или loose source routing. При обнаружении таких пакетов srx может или сделать запись в логах или тихо дропнуть пакет.

Настройка

• Дропнуть пакет.

                             
  [edit security screen] 
  root@srx# show 
  ids-option test { 
      tcp { 
          source-routing-option;
          } 
  } 

• Сделать запись в логе.

  [edit security screen] 
  root@srx# show 
  ids-option test { 
      tcp { 
          loose-source-routing-option;
          strict-source-routing-option;
          } 
  }

Атака
При такой атаке подделываеют адрес источника syn пакета, адрес источника ставят равным адресу назначения. В этом случае жертва пытается послать syn-ack себе же, в результате создаются пустые соединения.

Защита SRX находит пакеты в которых таким образом подделаны ip адреса и тихо дропает их.

Настройка

[edit security screen] 
root@srx# show 
ids-option test { 
    tcp { 
        land. 
	 }
}

Атака
Вся необходимая служебная информация передающаяся в icmp пакетах занимает очень мало места. Поэтому, как правило, нет необходимости в фрагментировании и использовании большых icmp пакетов. Если приходит фрагментированный или слишком большой пакет, то скорее всего здесь что-то не чисто и лучше такой пакет сразу дропнуть.

Защита SRX может дропать фрагментированные пакеты и пакеты размером больше 1024 байта.

ХХip-abnormalities.pngЪЪ

Настройка

[edit security screen] 
root@srx# show 
ids-option test { 
    icmp { 
        fragment
	large 
	 }

Атака
У атакующего есть возможность послать фрагментированные пакеты таким образом, что при сборке возможны сбои на конечном хосте. Примерно тоже самое с ip опциями.

Защита Пакеты такого типа можно дропнуть.

При этом надо понимать, что взять и просто запретить фразментированные пакеты нельзя, если много случаем когда необходимо фрагментировать миролюбивый трафик.

Настройка

[edit security screen] 
root@srx# show 
ids-option test { 
	ip
     { 
	block-frag;
	bad-option;
	 }
{

Атака
Протоколы с номером выше 137 (/etc/protocols) не стандартны и должны использоваться только для эксперементов.

Защита* Все не известные протоколы дропаются. Настройка <code> [edit security screen] root@srx# show ids-option test { ip { unknow-protocol } { </code> === syn fragmentation === Атака
Пакеты с syn флагм не несут никакой информации и используются только для инициализации tcp соединения. Нет необходимости фрагментировать syn пакеты. Если кто-то фрагментирует пакеты значит что-то тут не чисто. Защита
Дропнуть фрагментированные пакеты с syn флагом. Настройка**

[edit security screen] 
root@srx# show 
ids-option test { 
	tcp { 
        syn-frag
	 }
{

Применительно к srx главная цель атаки переполнить таблицу сессий.
Таблица забивается сессиями паразитного трафика и srx не может сосздать новую пару сессия для нормального трафика.
Емкость таблицы: